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Розроблено метод виявлення бот-мереж розподіленими системами на основі самоорганізації та метод 
взаємодії її компонентів. Розроблені методи підтримують самоорганізацію розподіленої системи, 
самостійність у прийнятті рішень компонентами системи без стороннього впливу, організацію взаємодії 
компонентів для визначення стратегії подальшої роботи, прийняття рішень про кількість компонентів 
системи, прийняття рішень про наявність зловмисного програмного забезпечення у певних комп'ютерних 
системах через залучення інших компонентів розподіленої системи з наступним відключенням таких 
комп'ютерних систем, обробку і передачу знань про нове виявлене зловмисне програмне забезпечення від 
одних компонентів системи іншим, оцінку стану безпеки окремих компонентів системи та її в цілому. 
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Вступ 

Невпинне щоденне збільшення та 
використання зловмисного програмного 
забезпечення (ЗПЗ) створює проблеми 
користувачам | комп'ютерних систем 
(КС). Отримання фінансової вигоди або 
іншої переваги вмотивовують розробни- 
ків зловмисного програмного забезпе- 
чення до його збільшення та розповсюд- 
ження (І, 2). Ними до його створення 
залучаються сучасні технології розробки 
програмних засобів, у тому числі і розпо- 
ділених. На сьогодні сучасне ЗПЗ може 
бути розроблене у вигляді складних бага- 
тофункціональних програмних систем та 
комплексів, які побудовані з викори- 
станням ефективних методів поширення 
зловмисного коду та подальшого адміні- 
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стрування його роботи. Особливо 
актуальним на сьогодні є виявлення ЗІЗ, 
яке поширюється комп'ютерними мере- 
жами. Наявні засоби його виявлення на 
сьогодні не задовольняють потреб корис- 
тувачів. Особливо це стосується задач по 
виявленню ЗПЗ на випередження, на ета- 
пі його початкового поширення. Відомі 
різноманітні антивірусні засоби, які здій- 
снюють виявлення ЗІЗ на різних етапах 
його функціонування, не забезпечують 
повного його виявлення |Ї, 2|. Для вияв- 
лення у КС локальних мереж використо- 
вуються мережні антивірусні програмні 
засоби (АПЗ) |3-7). Вони дозволяють 
організувати процес виявлення у сукуп- 
ній кількості КС за рахунок більшої об- 
числювальної потужності порівняно з 
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окремими КС. Переважно такі засоби ви- 
користовують у корпоративних мережах 
організацій та підприємств. Основною 
характерною особливістю існуючих ме- 
режних АПЗ є наявність централізованої 
архітектури, що може бути використана 
зловмисниками для їх блокування, після 
виявлення центрів. Тому, проблема роз- 
робки нових методів та систем виявлення 
ЗПЗ для застосування в локальних мере- 
жах залишається актуальною. 

Постановка проблеми 

Ефективна протидія  мережному 
ЗПЗ, зокрема бот-мережам, може бути 
здійснена мережним  АПЗ, архітектура 
яких була б подібною до архітектури 
складного комплексу ЗІЗ, але мала б 
більшу функціональність. Досягнення 
підвищення достовірності виявлення ЗІЗ 
у межах тільки однієї комп'ютерної сис- 
теми, яка має вихід у мережу Іпієгпеї, 
може бути недостатнім при протидії 
засобам ЗПЗ, які представлені великим 
програмним комплексом, що розміщений 
у багатьох комп'ютерних системах у гло- 
бальній мережі. Тому, підвищення досто- 
вірності виявлення ЗГІЗ можливе за раху- 
нок залучення груп КС порівняно з од- 
нією КС. Такими групами КС можуть 
виступати КС локальних комп'ютерних 
мереж (ЛКМ). Відповідно важливим зав- 
данням є здійснення побудови таких ефе- 
ктивних систем для їх використання в ло- 
кальних комп'ютерних мережах, де 
уможливлюється встановлення таких сис- 
тем на усіх комп'ютерних системах мере- 
жі, а не локально. Це дозволить при про- 
веденні аналізу зібраних типових даних з 
різних КС та їх відповідної обробки під- 
вищити достовірність виявлення. 

Ефективне застосування методів і 
засобів виявлення ЗПЗ потребує розробки 
системи, яка б включала в себе достатню 
кількість реалізованих ефективних мето- 
дів у вигляді відповідних підсистем, мала 
можливість до нарощування та врахову- 
вала б майбутні тенденції розвитку як 
антивірусних засобів, так і ЗІЗ. Оскіль- 
ки, бот-мережі є керованим розподіленим 
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програмним забезпеченням зловмисника, 
то перспективним напрямом досліджень 
на противагу є розроблення теорії 1 
практики створення розподілених систем 
виявлення |3-11). Важливими задачами 
при цьому є розробка методу виявлення 
бот-мереж із застосуванням розподілених 
самоорганізованих систем |11| та методу 
взаємодії їх компонентів у локальних ме- 
режах, особливістю якого була б можли- 
вість такої самоорганізації системи, що 
надавала б узгоджену підтримку методам 
виявлення безпосередньо мережного ЗІЗ. 

Аналіз останніх досліджень |і 
публікацій 

Відомі методи (метод сигнатурного 
аналізу, метод контрольних сум, метод 
евристичного аналізу та інші) виявлення 
ЗПЗ переважно орієнтовані на застосу- 
вання в кінцевих КС. Для антивірусних 
засобів мережного типу розроблено ме- 
тоди, застосування яких є можливим пе- 
реважно на сервері або в корпоративних 
чи локальних мережах. Більшість із цих 
методів розроблено з використанням тех- 
нологій та компонентів штучного інте- 
лекту. Як правило, сучасні системи вияв- 
лення ЗІЗ містять набори багатьох мето- 
дів та їх комбінацій, на що впливає зрос- 
тання різновидів ЗПЗ. Розглянемо деталь- 
ніше відомі системи та методи для 
виявлення ЗП. 

Авторами роботи (12, 13) запропо- 
новано систему ідентифікації та класифі- 
кації для шюмережних кібератак. Для 
реалізації системи запропоновано вико- 
ристання комбінації різних методів штуч- 
ного машинного навчання, а саме: ней- 
ронних мереж, імунної системи, нейрофі- 
зичних класифікаторів та метод опорних 
векторів. Відмінною особливістю запро- 
понованої системи є багаторівневий ана- 
ліз мережного трафіка, що дає можли- 
вість виявляти атаки методом підпису та 
комбінувати набір адаптивних детекторів 
на основі методів машинного навчання. 

У роботі |14| запропоновано статич- 
ну систему виявлення ЗПЗ, що заснована 
на використанні методу головних компо- 
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нентів для вилучення даних та класи- 
фікаторів 5УМ, )48 та МаїхеВауєе8 для 
формування висновку. Для усунення не- 
доліків відомих антивірусних засобів 
залучаються методи статичного аналізу 
для формування ознак, отриманих з 
інформації про У/іпдомз8 РЕ заголовок, 
ІІІ, бібліотеки та АРІ виклики всередині 
кожної РІ, бібліотеки. Для зменшення 
отриманої множини ознак використову- 
ється метод головних компонент. 

Систему виявлення кібератак на 
основі залучення нейромережних імун- 
них детекторів представлено у роботі 
П5). Розроблена система складається з 
двох частин. Перша реалізована апаратно 
й працює постійно в режимі реального 
часу. Друга частина представлена про- 
грамним забезпеченням на виділеному 
комп'ютері, який використовується для 
аналізу поточних атак та створення від- 
повідних засобів захисту. Прийняття рі- 
шення про можливий вплив ШІЇЗ здій- 
снюється із залученням системи нейро- 
мережних детекторів, в основу якої зак- 
ладено алгоритм Мамдані. 

Іншим підходом до виявлення зло- 
вмисного програмного забезпечення є ви- 
окремлення характеристичних ознак на 
основі інформації про потік виконання 
програми. У роботі (16| запропоновано 
систему, що передбачає побудову графу 
потоку керування зловмисної програми, з 
подальшою конвертацією його у вектор- 
ний простір. 

Окрім формування графу потоку ке- 
рування для виявлення метаморфних 
вірусів застосовуються ознаки, сформо- 
вані на основі відстеження АРІ викликів, 
що здійснює програма |11|. У роботі 
автори запропонували статичний підхід 
формування сигнатури метаморфного ві- 
русу, що заснований на підрахунку кіль- 
кості відповідних АРІ викликів. Висно- 
вок про наявність метаморфного вірусу 
формується на основі пошуку схожості 
сформованої сигнатури з базою сигнатур 
з використанням метрик подібності. 

Проведений аналіз показав, що для 
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виявлення ЗПЗ відомі системи здійсню- 
ють аналіз мережного трафіка, файлів 
аудиту, пакетів, що передаються по мере- 
жі, перевіряють конфігурацію відкритих 
мережних сервісів. Для встановлення 
факту порушення роботи КС використо- 
вуються різні методи машинного навчан- 
ня, а саме: нейронні мережі, штучні імун- 
ні системи, метод опорних векторів, Бає- 
сові мережі, нечітку кластеризацію (|17- 
19). Основним недоліком відомих систем 
є їх хост-орієнтований підхід до вияв- 
лення ЗПЗ. 

Для того щоб ефективно застосову- 
вати методи та засоби виявлення ЗІЗ не- 
обхідно розробити систему, яка б вклю- 
чала в себе достатню кількість реалізо- 
ваних ефективних методів у вигляді від- 
повідних підсистем, мала можливість до 
нарощування та враховувала б майбутні 
тенденції розвитку як антивірусних засо- 
бів, так 1 ЗПЗ. Крім того, враховуючи 
вплив людського фактору при поширенні 
ЗПЗ, необхідним є побудова системи ви- 
явлення на такій архітектурі, яка б не 
залежала від його впливу. Тому, врахову- 
ючи розподіленість системи в локальних 
мережах важливою вимогою до неї є її 
самоорганізованість безпосередньо в ро- 
боті 1 при прийнятті рішення з виявлення 
ЗП3. 

Мета дослідження 

Метою дослідження є розробка ме- 
тоду виявлення бот-мереж розподіле- 
ними системами на основі самооргані- 
Архітектура такої розподіленої багаторів- 
невої системи (РБС) представлена в |111, 
яка також, на відміну від існуючих 
мережних АПЗ |3-7|, є децентралізо- 
ваною. Врахування особливостей архітек- 
тури розподіленої системи, яка є само- 
організованою, надає переваги при вияв- 
ленні ЗПЗ. Такими перевагами є само- 
стійність у прийнятті рішень без сторон- 
нього впливу (наприклад, адміністратора 
мережі), організація взаємодії компо- 
нентів РБС для визначення стратегії 
подальшої роботи, прийняття рішень про 
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кількість компонентів системи  дина- 
мічно, прийняття рішень про наявність 
ЗПЗ у певних КС через залучення інших 
компонентів РБС, з наступним відклю- 
ченням таких КС, обробка і передача 
знань про нове виявлене ЗГІЗ від одних 
компонентів системи іншим, оцінка стану 
безпеки окремих компонентів РБС та її в 
цілому. 

Виклад основного матеріалу 

Метод виявлення бот-мереж роз- 
поділеними системами на основі само- 
організації 

Особливістю використання РБС ви- 
явлення ЗПЗ у локальних мережах є те, 
що з метою здійснення виявлення роз- 
роблені відомі методи, орієнтовані саме 
на виявлення ЗПЗ в окремих КС чи кор- 
поративних мережах за певним його 
типом чи типами, але при цьому не вра- 
ховують при виявленні особливості анти- 
вірусних засобів, у яких вони реалізо- 
вані. РБС розроблена для здійснення три- 
валого спостереження за протіканням 
процесів в окремих КС та локальній ме- 
режі. Це надає можливість накопичувати 
інформацію про процеси, які протікають 
у конкретній КС, порівнювати їх між різ- 
ними КС локальної мережі. Також, пере- 
вагою РБС над ЗПЗ є те, що РБС містить 
у своїх компонентах інформацію про 
кожну КС локальної мережі 1 використо- 
вує її для порівняння в процесі свого 
функціонування. Оскільки місцем дослід- 
ження виступають КС локальної мережі, 
де адміністратор мережі встановив визна- 
чене загальне і спеціалізоване програмне 
забезпечення, тоді РБС отримує перева- 
гу над ЗПЗ, якому необхідно буде пробу- 
вати отримувати інформацію про нього. 
Користувачі в локальній мережі обмежені 
у користуванні КС, але вони теж можуть 
несанкціоновано встановлювати потрібне 
їм програмне забезпечення, відвідувати 
веб-сайти із ЗПЗ. Враховуючи, що вузли 
бот-мережі в КС можуть не проявлятись 
швидко, перебуваючи в стані очікування 1 
збору потрібної інформації або тримаючи 
під контролем КС не здійснювати інших 
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дій, то їх виявлення на основі відслід- 
ковування можливих зловмисних дій потре- 
бує не тільки тривалого спостереження, що 
є важливим, але і відповідних методів вияв- 
лення та структури засобів виявлення, які б 
надавали суттєві переваги при виявленні. 
Методи виявлення ЗІЗ повинні врахо- 
вувати особливості засобів, у яких вони бу- 
дуть реалізовані. Їх реалізація без отри- 
мання переваги за рахунок структури засо- 
бів не зможе надати їм переваги особливо 
тоді, коли такі засоби будуть встановлю- 
ватись у КС, у якій вже присутнє ЗІЗ. 

При розгляді сукупності КС у ло- 
кальній мережі припустимо, що частина з 
них є вузлами бот-мережі, а решта не є 
частиною бот-мережі. При цьому можуть 
бути варіанти, при яких КС можуть містити 
файлове ЗПЗ, яке не відноситься до бот- 
мереж. А також, з КС може проводитись 
атака на іншу КС або здійснюватимуться 
зловмисні дії в КС. Якщо КС містить вузол 
бот-мережі чи файлове ЗІЗ, то на КС може 
здійснюватись атака ззовні з вузлів іншої 
бот-мережі чи проводитись іншим мереж- 
ним ЗІЗ. Врахуємо також, що при відсут- 
ності мережного ЗІЗ у КС атака з цієї КС 
не відбувається. Крім того, вважатимемо, 
що усі розглянуті КС містять компоненти 
РБС, тобто в них здійснюється моніторинг 
подій 1 приймається рішення про виявлення 
мереж-ного ЗПЗ, у тому числі вузлів бот- 
мереж. Виділимо та представимо ці 12 
варіантів у табл. 1 згруповано, залежно від 
наявності бот-мереж у КС: 

1) вузол бот-мережі в КС здійснює зло- 
вмисні дії тільки в межах КС і атака з КС на 
інші КС не проводиться, але здійснюється 
або не здійснюється атака на цю ж розгля- 
дувану КС іншим мережним ЗІЗ, при 
цьому інше ЗПЗ у КС може або не може 
бути присутнім; 

2) те ж що 1 у варіанті І, тільки з КС здій- 
снюється атака вузлом бот-мережі; 

3) вузла бот-мережі в КС немає, наявне 
файлове ЗІЗ, атака на КС ззовні здійсню- 
ється або не здійснюється; 

4) ЗПЗ немає, атака ззовні на КС здій- 
снюється або не здійснюється. 
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Таблиця 1. Варіанти подій у КС 


ме Вузол | Файлове | Атака | Атака 
варіанту бот- ЗПЗ в зКС |накс 
подій мережі КС 
вКС 
1 з - з 
2 з - з - 
3 - - - з 
4 Я - - - 
5 з з з з 
6 з з з й 
7 з з - з 
8 з з - - 
9 - з - з 
10 - з 2 б 
11 З й - з 
12 - - - - 


Події, які не представлені в табл.|, 
не можуть відбуватись. Зокрема, якщо 
немає ЗПЗ в КС, тоді з неї не може вес- 
тись атака на інші КС. Варіанти подій з 
табл.І є основою для розробки методу 
виявлення бот-мереж у частині відобра- 
ження в ньому особливостей різного ста- 
ну КС, у якому вона може перебувати. 
Для здійснення обробки подій у КС 
компонентою РБС необхідно здійснити 
формалізоване представлення розробле- 
них функцій бот-мереж через поведінкові 
сигнатури на основі АРІ функцій. Підго- 
товка таких еталонних моделей полягає у 
формуванні знань на основі функцій, які 
вказують на наявність бот-мереж. Отри- 
мавши вектори, в яких представлені чис- 
лові величини як їх компоненти, що доз- 
воляє на основі їх перейти до здійснення 
класифікації нових виконуваних об'єктів 
у КС, потрібно організувати збір інфор- 
мації про виконувані процеси в КС на 
основі АРІ функцій та розробити метод їх 
обробки для перевірки віднесення до 
одного з класів бот-мереж. 

Проаналізуємо можливі варіанти 
подій у КС за присутності в ній компо- 
ненти РБС та ЗПЗ. На основі їх дослід- 
ження визначимо стратегії поведінки ПМ 
у процесі появи таких подій. 

Розглянемо випадок, коли в КС вже 
створено вузол бот-мережі, тобто заван- 
тажено ЗПЗ вузла бот-мережі, отримано 
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контроль | над | певним програмним 
забезпеченням КС. Якщо вузол бот- 
мережі міститься в КС, тоді при її запус- 
ку стартове зловмисне навантаження 
повинно проявити себе в одному з проце- 
сів, які створюються прописаними вико- 
нуваними програмами в файлах автоза- 
пуску. Інакше воно не зможе активу- 
ватись у КС при кожному її увімкнені |, 
як наслідок, буде вилучено з часом з бот- 
мережі. Або воно очікуватиме запуску 
користувачем певних програм чи програ- 
ми, що теж може відбутись або не відбу- 
тись. Тому, висуваємо гіпотезу, що 
запуск програмного забезпечення вузла 
бот-мережі здійснюється після увімк- 
нення КС. У процесі отримання контро- 
лю над КС бот-мережа чи на перших 
етапах свого функціонування вузол бот- 
мережі здійснить призупинення роботи 
відомих анти-вірусних засобів та перейде 

Варіантів встановлення компонент 
РБС може бути два: 1) під час нового 
встановлення програмного забезпечення 
(ПЗ) КС встановлюється 0 програмне 
забезпечення компоненти; 2) програмне 
забезпечення компоненти  встановлю- 
ється у вже функціонуючу КС. При пер- 
шому варіанті КС може бути новою і то- 
му потребує встановлення ПЗ або вже 
використовуваною раніше і потребує 
повного переустановлення ПЗ. Але на- 
віть, якщо вона є новою, то, як правило, 
містить операційну систему і до вклю- 
чення її до складу локальної мережі вже 
міститиме певне визначене ПЗ. Таким чи- 
ном, вірогідність отримати ЗІЗ при пер- 
шому варіанті дуже мала, але теоретично 
можлива. При другому варіанті ймовір- 
ність наявності ЗІЗ в КС більша, ніж в 
першому. 

Якщо припустити, що ЗПЗ у пер- 
шому варіанті не було, тоді компонента 
РБС встановлюється першою і отримує 
доступ для контролю над всією КС. Цей 
контроль передбачає такі основні дії: 
запуск першої, звірку виконуваних про- 
грам з файлу автозапуску, розміщення 
резидентної програми в пам'яті, моніто- 
ринг АРІ викликів і збір їх у вектори. 
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Програмне забезпечення вузла бот-мере- 
жі може потрапити в КС двома спосо- 
бами: користувач, мережа. Тоді таке ЗПЗ 
буде обов'язково пробувати прописати 
себе для можливості активації при нас- 
тупному ввімкнені КС, створювати мож- 
ливості для розміщення своєї резидентної 
частини в пам'яті. При спробі пропи- 
сатись у компоненті РБС буде виявлено 
через здійснення самоконтролю при за- 
пуску, який закладено в функціонал ком- 
поненти, якщо ЗІЗ допустить запуск 
наступних після нього команд. Якщо ж 
ЗПЗ не допустить запуск команд компо- 
ненти, тоді він не відзвітується перед 
рештою компонент РБС і буде ними ви- 
лучений із РБС, що дозволить блокувати 
таку КС. При другому варіанті: якщо ЗПЗ 
не було, а з'явилось, тоді та ж стратегія, 
що і для першого розглянутого варіанту. 
А якщо ЗІЗ вже було, тоді в процесі 
функціонування КС виникне конфлікт 
між ПЗ вузла бот-мережі і компонентою, 
суть якої полягатиме в змаганні за пер- 
ший запуск та доступ до оперативної 
пам'яті, облік для компоненти і блоку- 
вання відомих АПЗ. Певний час вони мо- 
жуть функціонувати. У будь-якому з варі- 
антів компонента виступить об'єктом для 
атаки як приманка. Але не все ЗПЗ, а 
особливо бот-мережі, розроблено на ос- 
нові стратегії змагання за повний конт- 
роль над КС чи перший запуск. Для при- 
ховування своєї присутності стратегія 
перебування в КС може передбачати, 
наприклад, тільки прописування в одно- 
му з файлів, які містяться у файлі авто- 
запуску. Тоді виявити таке ЗПЗ можна 
лише за його проявами, важливим з яких 
для вузла бот-мережі є необхідність 
підтримки зв'язку зі своїм контролю- 
ючим центром. Тобто, для цього випадку 
вузол бот-мережі не проявляє активності, 
а очікує команди 1 потім запускає повний 
пакет програмного забезпечення, необ- 
хідний для її виконання. Така стратегія 
дозволяє перебувати в КС тривалий час 
без виявлення. Але ці та інші стратегії, 
закладені в механізм функціонування 
бот-мережі, можуть порушити інші події, 
які викликані сторонніми проявами. На- 
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приклад, розглянемо перший варіант 
подій з табл.І, тобто, коли отримано 
команду здійснити атаку на іншу КС чи 
ресурс, а в цей час подібна атака відбу- 
вається на цю ж КС. Така подія може 
відбуватись тільки тоді, коли атака на КС 
ведеться не з цієї ж бот-мережі, вузол 
якої міститься в КС, а іншим ЗІЗ. У цьо- 
му випадку компонента РБС переходить 
до стану 7 (|11|, який активується через 
надмірне звернення до портів та викли- 
ком функцій, орієнтованих на встанов- 
лення мережних з'єднань. Компонента 
визначає ІР адресу, куди націлена інтен- 
сивна відправка пакетів, і здійснює збіль- 
шення інтервалу надсилання пакетів 
через блокування відповідних пакетів. 
Проведення атаки на цю ж КС, яка є в 
локальній мережі, не може містити ресур- 
сів для атаки, і може здійснюватись тіль- 
ки іншим зловмисником для встанов- 
лення контролю над нею. Ця атака може 
відбуватись з іншої КС цієї ж мережі, 
тоді компонента визначає КС, про яку 
повідомляє решті компонентів РБС для 
здійснення її дослідження, або через ме- 
жу локальної мережі. У будь-якому з 
випадків відбивання атаки здійснюва- 
тиметься відповідними засобами. Але 
частина атакуючих дій може бути успіш- 
ною, тоді в КС будуть одночасно присут- 
ні компоненти, ПЗ вузли бот-мережі та 
нове ЗПЗ. При їх функціонуванні виник- 
не конфлікт, який проявиться у спробі 
здійснення контролю над КС, що буде 
впливати на її нормальний порядок 
функціонування. У цьому випадку ком- 
понента, при звірці інформації про розмі- 
щені в КС файли, виявить поточні зміни і 
почне дослідження підозрілих файлів. 

У другому варіанті, якщо в КС місти- 
ться вузол бот-мережі 1 з неї здійснюється 
атака, тоді компонента порівнює зростаючу 
інтенсивність викликів мережних з'єднань і 
здійснює їх затримки методом  призу- 
пинення та виявляє процес, який їх генерує. 
Цей варіант можливий при повному конт- 
ролі компоненти в КС і другорядній ролі 
вузла бот-мережі, якщо ж інакше, то тобі 
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вузол бот-мережі змагався б за ресурси КС з 
компоненти і цим виявив би себе. 

У третьому варіанті подій розгляда- 
ємо можливість проникнення в КС з ма- 
лою ймовірністю. При цьому компонента 
аналізуватиме інтенсивність звернення до 
портів та надходження пакетів, а також 
подальшого розміщення файлів, що на- 
дійшли, 1 фіксування місця їх розміщен- 
ня. У подальшому компонента розміщує 
такі файли в свій реєстр для спостере- 
ження за ними протягом певного часу. 

У четвертому варіанті подій компо- 
нента здійснює змагання за ресурси з ПЗ 
вузла бот-мережі. І аналогічно, як у пер- 
шому варіанті, може бути дві варіації: ПЗ 
вузла бот-мережі прагнутиме встановити 
повний контроль над КС або згідно зі 
своєю стратегією функціонування прихо- 
вуватиме свою присутність до отримання 
команди на проведення атаки. 

П'ятий варіант подій включає ре- 
зультати першого з врахуванням того, що 
додатково наявне в КС файлове ЗПЗ. 
Його присутність ускладнюватиме функ- 
ціонування КС, бо воно перебуватиме в 
оперативній пам'яті, здійснюватиме своє 
поширення, шукаючи об'єкти для вті- 
лення. Характерною особливістю в цьому 
варіанті буде завантаженість ресурсів і 
сповільнення роботи КС. Компонента 
відмічатиме зміни в файлах, які пропи- 
сані в її реєстрі для цієї КС. Основним 
місцем, де зіткнуться компонента РБС, 
ПЗ вузла бот-мережі та файлове ЗПІЗ буде 
оперативна пам'ять. Атака на цю КС 
підсилюватиме ускладнення роботи КС, 
що аналогічно до першого варіанту при- 
зведе до тривалої обробки результатів 
моніторингу компоненти в КС і повідом- 
лення про події іншим компонентам РБС. 

Аналогічно до першого і п'ятого 
варіантів будуємо стратегії розвитку 
подій для шостого, сьомого та восьмого 
варіантів подій. Варіанти 9-12 стосуються 
файлового ЗПЗ, бо вони не передбачають 
наявність ПЗ вузла бот-мережі. 

Стратегії компонент РБС в різних 
варіантах подій: 
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1) КС контролюється / бот-мережею, 
компонента в КС заблокована вузлом 
бот-мережі, КС виконує поставлені 
кори-стувачем задачі; 

2) КС контролюється  бот-мережею, 
компоненту РБС в КС заблоковано 
вуз-лом бот-мережі, КС функціонує з 
трива-лими перебоями та затримками 
у вико-нанні запитів користувача; 

3) КС контролюється 0 бот-мережею, 
компонента в КС заблокована вузлом 
бот-мережі, | КС функціонує з 
тривалими перебоями та затримками 
у шввиконанні запитів користувача, 
файлове ЗПЗ в КС здійснює своє 
поширення; 

4) КС контролюється компонентою РБС, 
вузол бот-мережі в КС дослід-жується 
компонентою, КС виконує поставлені 
користувачем задачі; 

5) КС контролюється компонентою, 
вузол бот-мережі та файлове ЗПЗ в 
КС досліджуються компонентою РБС, 
КС виконує поставлені користувачем 
задачі; 

6) КС контролюється компонентою, яка 
здійснює моніторинг і обробку подій. 

Проаналізуємо логіку взаємодії ко- 

мпоненти РБС та ПЗ вузла бот-мережі в 

КС для отримання стратегій. Задамо ста- 

дії функціонування варіантів подій і мож- 

ливих стратегій їх розвитку часовою діа- 
грамою та виділимо в ній повторювані 
фрагменти для здійснення оптимізації 
при прийнятті рішення компонентою 

РБС. Шаблони можливих варіантів подій 

у КС та їх варіації формують одну З 

шести стратегій. Стратегії для подій у КС 

локальної мережі представлено в табл. 2. 

Метод виявлення бот-мереж у КС 
локальних мереж складається з таких ос- 
новних кроків: 

1. Отримання даних про активні процеси 
та мережні пакети на основі активного 
моніторингу виконання команд у КС 
(починаючи з першої АРІ функції кож- 
ного процесу, що буде виконуватись 
після запуску КС). 
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Таблиця 2. Фрагмент стратегій для 
подій у КС локальній мережі 


Хо 1 2 (|31415161718 


зп |КІБІК 
1 011010 110 11111111111 
110Г0 111 


51210101 01110/:0|0|0|0|6 
Позначення в табл. 2: 1 - встановлення в КС до 
(1 після(0) компоненти РБС або ПЗ вузла бот-мережі; 
2 - стартовий контроль у КС: так(1)/ні(1); 3 - атака з 
цієї КС: так(1)/ні(1); 4 - атака з цієї КС на КС цієї ж 
мережі: так(1)/ні(1); 5 - атака на КС: так(1)/ні(1); 6 - 
атака з КС цієї ж мережі: так(1)/ні(1); 7 - наявність 
файлового ЗПЗ, встановленого до(1)/після(0) 
встановлення компоненти РБС; 8 - стратегії; К - 
компонента РБС; Б - ПЗ вузла бот-мережі. 


2. Здійснення збору даних моніторингу 
після виявлення певних імовірно зло- 
вмисних проявів у КС у вектор. 

3. Формування вектору ознак імовірно пі- 
дозрілих дій для зібраних даних, ком- 
понентами якого є АРІ функції. 

4. Прийняття рішення про місце обробки 
вектору ймовірно зловмисних дій. 

5. Якщо аналіз завантаженості ресурсів 
КС показав невеликий відсоток заван- 
таженості, тоді здійснити обробку в 
цій КС, інакше надіслати в іншу визна- 
чену компоненту КС. 

6. Здійснення класифікації вектору імо- 
вірно зловмисних дій. 

7. Аналіз результатів кроку 6. 

7.1. Якщо встановлено віднесення та- 
кого вектору до певного підкласу 
класу бот-мереж, тоді додавання ці- 
єї інформації до класифікаторів усіх 
компонент. 

7.2. Якщо встановлено віднесення та- 
кого вектору до декількох підкласів 
класів бот-мереж, тоді здійснити 
аналіз із залученням решти компо- 
нент РБС на основі обробки варіан- 
тів подій з табл. 1. 

7.3. Якщо близькість для включення до 
певного підкласу є нечіткою, але 
додатково із залученням решти ком- 
понент визначено, що вектор міс- 
тить зловмисні дії, тоді здійснити 
створення нового класу для бот- 
мереж, занести дані, оновити на- 
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лаштування класифікатора, переда- 
ти результат решті компонент РБС. 

7.4. Якщо перевірка встановила, що 
досліджуваний вектор не містить 
зловмисного навантаження, тоді 
здійснити зупинку дослідження 
процесу, на основі якого він був 
сформований. 

7.5. Якщо встановлено, що досліджу- 
ваний вектор містить зловмисне на- 
вантаження, тоді здійснити зупинку 
відповідного процесу. 

7.6. Здійснення пошуку і дослідження 
на основі отриманих відомостей 
аналогічних процесів в інших КС 
мережах, де встановлена РБС, її 
компонентами. 

8. Обробка варіантів з табл. І та табл. 2 із 
залученням решти компонентів РБС. 
На основі варіантів подій табл. І та 
табл. 2 виокремлення варіантів, у яких 
можливе відключення ЗІЗ компонен- 
тів РБС, і встановлення такої події для 
оцінки іншими компонентами РБС. У 
цьому випадку здійснюється вилучен- 
ня компоненти з РБС. 

8.1. Для варіантів 1-256 задіяти стра- 
тегію 1 она основі прийняття 
рішення рештою компонентів та 
здійснити вилу-чення компоненти з 
РБС. 

8.2. Для варіантів 257-320 задіяти стра- 
тегію 2 на основі прийняття рішен- 
ня рештою компонентів РБС. 

8.3. Для варіантів 321-340 задіяти стра- 
тегію 3 на основі прийняття рішен- 
ня рештою компонентів. 

8.4. Для варіантів 341-484 задіяти стра- 
тегію 4 на основі прийняття рішен- 
ня всіма компонентами з РБС та об- 
міну інформацією між ними. 

8.5. Для варіантів 485-502 задіяти стра- 
тегію 5 на основі прийняття рішен- 
ня всіма компонентами з РБС та об- 
міну інформацією між ними. 

8.6. Для варіантів 503-512 задіяти стра- 
тегію 6 на основі прийняття рішен- 
ня компонентою та обміну інформа- 
цією з рештою компонентів РБС. 
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9. Обчислення значення імовірностей у 
станах компонент і вимога для інших 
компонент здійснити обчислення ймо- 
вірності бути ураженої для всієї РБС. 
Цей крок здійснюється позапланово 
через дослідження наявного зловмис- 
ного прояву в одній з КС. 

10. Здійснення оптимізації вектора, що 
додається в базу зловмисних дій та 
атак, за генетичним алгоритмом. 

11. Формування імовірностей перебуван- 
ня в станах для надсилання іншим ком- 
понентам для визначення стану РБС (за 
формулами | та 3). 

12. Залучення засобів для забезпечення 
стійкості компонент у КС при групі 
подій з кроку 8 (табл. 1), які відносять- 
ся до зовнішніх впливів. 

Таким чином, згідно з розробленим 
методом, компоненти РБС навчені і ма- 
ють змогу досягати таких цілей: вилу- 
чення ймовірно уражених компонент з 
РБС, встановлення відношення до ЗІЗ 
типу бот-мереж на основі обміну 1 
обробки знань, створення нового класу 
бот-мереж на основі фрагмента програм- 
ного коду. Розбудовані компоненти РБС 
згідно з методом такої обробки ймовірно 
зловмисних подій приймають рішення 
про зміну структури РБС та визначають 
уражену КС завдяки побудованій архі- 
тектурі РБС та організації взаємозв'язку 
її компонентів. 

Розроблений метод дозволяє здій- 
снювати виявлення бот-мереж у комп'ю- 
терних системах локальних мереж на 
основі активного моніторингу системних 
подій та здійснення узгодження компо- 
нент РБС при прийнятті рішення. 

Метод взаємодії компонентів роз- 
поділеної багаторівневої системи ви- 
явлення ЗПЗ на основі самоорганізації 

Метод взаємодії компонентів РБС 
на основі самоорганізації та децентра- 
лізації виявлення ЗПЗ встановлює поря- 
док здійснення комунікації між компо- 
нентами системи та обміну знаннями між 
ними. Він застосовуватиметься для вирі- 
шення задач верхнього рівня організації 
взаємодії, тобто тільки для організації 
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взаємодії частин системи |11)| і пред- 
ставлення її цілісною. Для вирішення 
проблеми з безпосереднього виявлення 
ЗПЗ у локальних обчислювальних мере- 
жах застосовуватимуться методи, які на- 
лежатимуть до нижчого рівня системи, 
що включатимуть архітектурні особли- 
вості розподіленої системи і технології 
виявлення ЗПЗ. 

Подальші процеси, що протікати- 
муть у мережі, які пов'язані з функціону- 
ванням системи, задамо такими кроками 
методу взаємодії компонент: 

1. Визначення станів компонент. 

2. Обробка відповідей від компонент КС 
на відправлені пакети. 

3. Обробка компонентою РБС невизна- 
ченостей, пов'язаних з відсутністю 
відповідей на відправлені пакети. 

4. Сканування заданого порту КС. 

Оцінка стану компоненти та її звірка 

між рештою компонент РБС на етапі 

обміну повідомленнями. 

6. Визначення стану РБС за формулами 
І та 3. 

7. Прийняття рішення про подальшу 
роботу РБС, у цілому, на основі до- 
слідження її стану компонентами за 
формулою 2. 

8. Вилучення активної компоненти З 
РБС у результаті вимкнення КС. 

9. Події, які активують методи виявлен- 
ня ЗПЗ, впливають на зміну стану 
компоненти РБС; здійснення дослід- 
ження інших КС на наявність подіб- 
них активностей та обмін отриманими 
результатами. 

10. Обробка та оптимізація статистичних 
даних, накопичених у системі кожною 
компонентою окремо. 

11. Обмін знаннями в середині РБС. 

12. Сумісне виконання завдань компонен- 
тами РБС. 

13. Робота РБС у складі всього однієї 
компоненти. 

14. Поповнення  РБС новими  компо- 
нентами. 

Для визначення стану безпеки РБС 
використаємо дані в поточний момент 
часу з її компонент: стан кожної компо- 
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ненти від початку поточного запуску, ча- 
су перебування в кожному стані кожної 
компоненти, рівні безпеки в кожному 
стані кожної компоненти. Обчислення за 
формулами (1) 1 (2) стану РБС кожною 
компонентою на основі отриманих даних 
зі всіх активних компонент РБС здій- 
снюємо в два етапи. На першому етапі 
рівень безпеки РБС визначимо за фор- 
мулою Ї: 


Уа- 2 ері 


І-1 - 
КРБСІ - і є , (1) 


де Курвсі - рівень безпеки РБС, виз- 


начений на першому етапі, Р - позна- 
чення безпеки, І- номер компоненти 
РБС, п - кількість компонент РБС, К, | - 
коефіцієнт загрози бути ураженим ЗІЗ 5 
- того стану компоненти, значення якого 
встановлюється з відрізку ЩО: ЇЇ залежно 
від того, які функціональні  наванта- 
ження закладено у певний 5-ий стан, 
ру: - імовірність бути ураженим ЗІЗ, 
т-- кількість станів компонент. 

За формулою 2 РБС здійснює визна- 
чення свого центру в поточний момент, а 
також на основі цього значення здійсню- 
ється виділення критичних компонент. 


2В у РЕСІз Коб УервО) 
0, якщовиконується умова 1 З 


9 
231, якщо виконується умова 2 
2, якщо виконується умова 3 


де 2(КРеСл» Ко 8,5 с,рБс) - ФУнкція визна- 
чення подальших кроків для РЕБС, 
К,ресл - рівень безпеки РБС, який отри- 
мано на першому етапі за формулою І, К 
- кількість активних компонент Із 
загальної кількості п, 5 - номер стану, 
5 -1,2,..т, т - кількість станів компо- 
нент, 5,,ркс - Середнє значення для РБС 
на основі сукупності станів її компонент. 
Умови для задання функції є предста- 
вимо в таблиці 3. 
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Таблиця 3. Значення функції 
ЗВ, ррсл» Ко 855 а,рво) 
вини Значення умов для функції 5 
функції Умови, Умови, які 
а Значення які пов'язані з 
8 рівня пов'язані середньоквадра- 
безпеки з тичним 
РБС,В. ро кількістю відхиленням 
Ь,РБС п 
М 
Умова піт Зевс -1у «1 
1 Вовк | бо05 З 
п для 5 -І або для 
5-8 
5 тіп( орво | І)«1 
Ен 075 | (250,5 й 
і п для 5 -2 або 
для5 -3 або 5-4 
і тіл( де -лу«1 
Вр 2075 | «05 
іа п для 5-5 або 
для 5 -6 або 5 27 
пи боро 
ок Вир «5 зазесзвьді 
п і для 5 - 2 або 
для 5 -3 
Умова пні 5 орва лу 
2 05«К,рвс «075 К 505 5 
п і для 5 -2 або 
для 5 -3 
ка 
ДОРО у 
05 Вул «ЛЮ 5 пасів 
п і для 5 - 2 або 
для5 3 або 5-4 
у під ево пу 
0,25 « Ку рьс 40,9 - » 0,5 М 
і п для 5 - 1 або 
для 5 «8 
Умова тіп( рес -ту«ї 
З Ванобв | 05 Щ 
" п для 5 -6 або 
для 5 -7 
пи еорБе 
ра З | 1 
05 Вул «05 Ко зо згава з 
п і для 5 -5 або 
для 5 -6 або 5 27 
тіл( динь -1)«1 
0,25 «КК. рес 40,9 Кк 505 для 5 -4 або 
п - для 5 -5 або 
для 5 - 6 або 
для 5 -7 
х п бетрвс 
ри зновес. Ус 
025 «Вир «РАо З ол зв реа 
для 5 - 5 або 
для 5 -6 або 5 27 
Ку,Рьс 5 0,25 7 с 
решта випадків 
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Загальна кількість таких випадків може 
бути 64, бо є чотири випадки для рівня 
безпеки, два випадки для кількості ком- 
понент, які входять до центру РБС у 
поточний момент часу, вісім - для відне- 
сення центру до одного зі станів за 
рахунок дослідження його відхилення. 
При виконанні умови І, тобто, якщо 
20 ресол» Ко 5» 5.рвс) - 0, то РБС продов- 


жує роботу в режимі, коли її компоненти 
працюють в тих станах, в яких були. При 
цьому жодних дій по обробці ситуацій в 
певних відібраних КС не проводиться. 
При виконанні умови 2, тобто, як- 


що 8 рес» КО 5, бервс) - 1, То РБС про- 


довжує роботу в режимі, коли її компо- 
ненти працюють у тих станах, у яких 
були. А також РБС зразу відмічає компо- 
ненти, для яких потрібне додаткове уточ- 
нення стосовно задач, які виконують у 
поточний момент часу. 

При виконанні умови 3, тобто, як- 
що 2(К,, рес» 5 рес) - 2, ТО РБС пе- 


реходить до другого етапу уточнення 
свого стану на основі залучення часових 
характеристик станів усіх компонент. 
Якщо ймовірність бути ураженим 
ЗПЗ впливатимуть не тільки на компо- 
ненти або їх вплив на ці модулі несут- 
тєвий, то це не дозволяє визначити стан 
РБС як критичний. Такий випадок мож- 
ливий, коли дослідження на першому 
етапі через визначення середнього зна- 
чення 1 його подальшого використання 
було невисоким через невеликий час ро- 
боти від останнього запуску ПЗ компо- 
ненти чи через необхідність його усеред- 
нення на вісім станів. Але може вияви- 
тись, що багато компонент тривалий час 
перебувають чи перебували в одному 1 
тому ж стані, а використання критеріїв 
першого етапу їх не виділяє. Тому, щоб 
урахувати такі граничні особливості, ви- 
ділимо ймовірності бути ураженим ЗПЗ 
для РБС у певних визначених станах і 
здійснимо оцінку таких випадків на дру- 
гому етапі дослідження. Для другого ета- 
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пу визначення стану РБС узагальнена 

формула 3 для визначення рівня безпеки: 
1 т п 

КРБС2 4 (ща- па-р, зуЖк, 


5-1 узі, 
ря, і 


р .0) 


Р Хі 2 
ХК) б б з )) 


пе РУ р ьМ 2.1, 


5-1)-1 з-1)-Ї 


де Кірвс2 - рівень безпеки РБС, виз- 


начений на другому етапі, Р - позначення 
без-пеки, 5 - номер компоненти РБС, п 
- кількість компонент РБС, т - кількість 
станів компоненти, КТ коефіцієнт заг- 


рози бути ураженим ЗІЗ 5 - того стану 
компоненти, значення якого встановлю- 
ється з відрізку ГО; 1) залежно від того, які 
функціональні навантаження закладено у 


Певний 5-ий стан, Рз.) - імовірність бу- 


ти ураженим ЗІЗ, у», ; - кількість пере- 


бувань компоненти з номером ) у стані 
Ух ВЕ ноз ЗД у ЇЇ, Ге сумарний 


час перебування компоненти з номером 
) у стані 5п - кількість компонент РБС. 


Значення р,; отримуються на основі 


результатів функціонування закладених у 
компоненти підсистем виявлення певних 
типів ЗПЗ. 

Таким чином, згідно з розробленим 
методом взаємодії компонент РБС, на ос- 
нові самоорганізації підтримується ціліс- 
ність такої децентралізованої системи та 
гнучке переналаштування на подальше 
виконання завдань. 

Експерименти 

Метою експериментів була пере- 
вірка застосування методу виявлення бот- 
мереж, роботи класифікатора в структурі 
розподіленої системи та визначення за- 
лежності відсотка виявлених вузлів бот- 
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мережі від їх представлення векторами. 
Для проведення експериментів було здій- 
снено конструювання 28 штучних бот- 
мереж та отриманих кодів відомих вияв- 
лених бот-мереж, згруповано їх за класа- 
ми, виділено в них 25 структурних еле- 
ментів у трьох стадіях функціонування 1 
81 функцію, причому не всі так отримані 
бот-мережі містили повністю всі струк- 
турні елементи та функції. Кожну функ- 
цію задано векторами зловмисних дій та 
атак, з врахуванням варіацій, і на їх осно- 
ві побудовано зразки для включення їх у 
підкласи та класи. Експеримент прово- 
дився для класифікатора без додавання 
екземплярів створених бот-мереж та з ни- 
ми, тобто здійснювалась перевірка без 
навчання класифікатора на створених 
зразках 1 з попереднім віднесенням зра- 
зків по класах. Другий варіант є необ- 
хідним для перевірки точності віднесен- 
ня до класів тих зразків, які в них вве- 
дені, бо при здійсненні моніторингу АРІ- 
функцій можуть бути похибки. А також, 
для встановлення величини різниці у 
двох випадках без попереднього навчан- 
ня і з ним. Це необхідно, щоб перевірити 
залежність виявлення за векторами по 
кожному класу 1 загальну кількість ви- 
явлених вузлів бот-мереж та точність 
виявлення класифікатором. Тривалість 
моніторингу КС локальної мережі стано- 
вила 96 годин для кожного екземпляра 
бот-мережі кожного з двох класифіка- 
торів. Атака з вузлів бот-мережі не здій- 
снювалась. Вузли бот-мережі працювали 
тільки в режимі контролю КС та під- 
тримки структури бот-мережі через від- 
правлені повідомлення. Таким чином, для 
компонент РБС об'єктами дослідження 
були запущені в КС процеси 1, відповідно, 
побудова векторів по них. Для проведення 
експерименту були обрані бот-мережі, які 
використовують стратегію отримання пов- 
ного контролю в КС. Для здійснення експе- 
рименту засобами АРІ моніторингу в КС 
було отримано вектори, які включали по- 
чергово оброблені класифікатором компо- 
ненти. Результати обробки представлено в 
табл. 4. 
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Експерименти передбачали визначен- 
ня наступних показників ефективності ви- 
явлення вузлів бот-мереж для класів і 
підкласів Баєсівського класифікатора: 

1) Р, - відсоток векторів зловмисних дій 


та атак для вузлів бот-мереж, що нале- 
жать даному класу відносно всіх тесто- 
вих зразків, які система віднесла до цьо- 
го класу з використанням попереднього 
навчання; 

2) Р, - аналогічно до 1) тільки без вико- 


12 
ристання попереднього навчання; 
3) Р. - відсоток векторів зловмисних дій 


2, 

та атак для вузлів бот-мереж, що нале- 
жать даному підкласу класу відносно 
всіх тестових векторів, які система від- 
несла до цього підкласу класу в тестовій 
вибірці (ті, які були правильно віднесені 
до підкласів) з використанням поперед- 
нього навчання; 


4) Р, - аналогічно до 3) тільки без вико- 


242 
ристання попереднього навчання; 
5) Р. - відсоток правильно виявлених 


3 
вузлів бот-мереж з використанням попе- 
реднього навчання; 
6) Р, - аналогічно до 5) тільки без вико- 


3,2 
ристання попереднього навчання; 
7) Р. - відсоток хибно класифікованих 


41 
вузлів бот-мереж як корисних додатків 
(помилка 1-го роду) з використанням 
попереднього навчання; 
8) Р, - аналогічно до 7) тільки без вико- 


4,2 
ристання попереднього навчання; 
9) Р. - відсоток неправильно класифіко- 


5,1 
ваних вузлів бот-мереж як таких, що є 
вузлами бот-мереж, але віднесені не до 
того класу (помилка 3-го роду) з вико- 
ристанням попереднього навчання; 
10) Р; 2 -- аналогічно до 9) тільки без вико- 


ристання попереднього навчання. 
Результати оцінки ефективності ви- 
явлення програмного забезпечення вузлів 
бот-мереж на основі роботи двох класи- 
фікаторів для введених класів та підкласів у 
класифікаторі наведено у табл. 4. 
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Таблиця 4. Результати експерименту 
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Показники Отримані значення для різних класів Середні 
експерименту Сазз 0 СІав58 1 Сіаз8 2 Сіаз5 3 Сіаз8 4 Сіаз8 5 СІаз8 6 ад 
Ра ,9 90,74 84,29 73,66 86,30 94,04 94,18 96,60 89,44 
Ріо ГА 75,93 63,57 60,22 70,32 68,77 67,60 69,36 67,71 
| Р- РІ» | ,9 14,81 20,72 13,44 15,98 25,27 26,58 21,24 21,73 
рі ГА 85,80 83,57 72,58 85,39 98,88 93,92 96,60 88,42 
Ро ГА 74,69 63,57 59,14 70,32 67,37 66,58 67,66 66,80 
| Р, 7 Р, , о 11,11 20 13,44 15,07 31,57 27,34 28,94 21,62 
Р ,9 92,11 84,21 71,93 89,47 90,53 88,42 93,68 87,12 
ре ,9 76,32 57,89 63,16 64,91 71,58 54,74 75,19 65,89 
| Рг Во , 9 15,79 26,32 8,77 24,56 18,95 33,68 17,89 21,83 
Рі у 7,89 14,47 28,07 10,53 7,37 11,58 6,32 11,70 
і; у 21,05 40,79 36,84 31,58 24,21 44,21 22,11 31,97 
| Р, - Ра | 9 13,16 26,32 8,77 21,05 16,34 32,63 15,79 20,27 
Р ,ь 0 1,32 0 0 2,11 0 0 0,01 
р» у 2,63 1,32 0 3,51 4,21 1,05 2,1 2,14 
| Раз Р.5 , ГА 2,63 0 0 3,51 2,1 1,05 2,1 2,13 


У результаті проведення експери- 
менту отримано віднесення до потрібного 
підкласу та класу, отриманих на основі 
моніторингу векторів з точністю до 6690 
для класифікатора без введених векторів 
28 штучно згенерованих бот-мереж та 
889 для класифікатора, у який поперед- 
ньо було додано вектори шляхом здій- 
снення його навчання, зберігаючи в 
ньому шаблони попередніх наповнень. 
Перевірка здійснювалась окремо для кла- 
сів, їх підкласів та, в цілому, для вузлів. 
Результати були усереднені 1 їх дисперсія 
відносно середнього значення становить 
196. Різниця відхилення для двох класи- 
фікаторів по кожному класу, підкласу і 
вузлах бот-мереж та в цілому складає 
21,596. Відхилення між різницями відхи- 
лень для двох класифікаторів складає по 
кожному окремому класу, підкласу та 
вузлу бот-мережі менше 590, що вказує 
на точність визначення в різних класах 1 
підкласах. Це означає, що результат вияв- 
лення програмного забезпечення вузлів 
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бот-мереж співпадає в розрізі класів та 
підкласів для векторів зловмисних дій та 
атак. 

Помилки 1-го роду склали для пер- 
шого і другого класифікаторів 11,790 та 
31,9790, що пояснюється їх різним напов- 
ненням. Помилки 3-го роду - 0,0190 та 
2,149 відповідно, що пояснюється більш 
широким полем класифікації другого 
класифікатора через менший обсяг нав- 
чальної вибірки. У цілому, результати ро- 
боти класифікаторів показують можли- 
вість їх застосування для задач виявлення 
бот-мереж. 

Висновки 

У статті представлено метод вияв- 
лення бот-мереж розподіленими система- 
ми на основі самоорганізації та метод 
взаємодії її компонентів. Особливістю 
розроблених методів, які підтримують 
самоорганізацію розподіленої системи, є 
самостійність у прийнятті рішень компо- 
нентами системи без стороннього впливу, 
організація взаємодії компонентів РБС 
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для визначення стратегії подальшої 
роботи, прийняття рішень про кількість 
компонентів системи динамічно, прий- 
няття рішень про наявність ЗГІЗ у певних 
КС через залучення інших компонентів 
РБС з наступним відключенням таких 
КС, обробка і передача знань про нове 
виявлене ЗПЗ від одних компонентів 
системи іншим, оцінка стану безпеки 
окремих компонентів РБС та її в цілому. 
Метод виявлення бот-мереж склада- 
ється з двох частин: хостового і мереж- 
ного рівнів. На рівні хостової частини 
процедура виявлення базується на реалі- 
зації класифікації Баєса, причому може 
бути використаний і інший класифікатор. 
Мережний рівень розширює результати, 
отримані на рівні хоста, до решти локаль- 
ної мережі. Розроблений метод забез- 
печує обмін результатами, отриманими за 
класифікацією Баєса, для подальшого ви- 
користання іншими компонентами розпо- 
діленої самоорганізованої системи. Ре- 
зультати експерименту показали, що точ- 
ність виявлення бот-мереж досягає 8890. 
Для підтримки цілісності РБС роз- 
який на основі її самоорганізації визначає 
подальшу її стратегію роботи. 
Напрямками подальших досліджень 
є розробка нових методів виявлення ЗІЗ 
для наповнення РБС. Розроблені методи 
повинні орієнтуватись на особливості ар- 
хітектури розподіленої самоорганізова- 
ної системи та використовувати цю пе- 
ревагу над іншими хостовими методами. 
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КЕ5ОМЕ 


О.8. ЗауепКко 

Тре Мешод ОЇ РДегесіїоп ОЇ Вої- 
Ме: Оп Вах5ед Різігіршедй Апа 5еії- 
Огзапігайоп 5у5іетя 

Па огдег (о декесі таЇмаге іп согарикег 
зубіетя ої Іосаї песм/огКе, їі 15 зибдезіса іо 
и5е аі5ігібиісд аекесйоп зубієтя. ЗисП 
зузівєт5 тя Бе десепігайгед апа 5еії- 
ограпі?ед їп огдег (0 іпсгеа5е Ше гепабішу 
ої (Де дегеспоп апа гепабійсу ої Ше ууогк. 
Зисп 5у5(егі5 аге Пед мії плаПсіоця 
5оїйуаге дегесйоп птешШФодйз5 ітріетепіса іп 
Фет. ТРре рарег рге5епі5 Ше дЧеуеіорей 
теШод ої дегесйпє Бокпеї5 Бу і5(пібитед 
зубіетя оп Ше Ба5і5 ої 5еЙ-ограпігайоп апа 
Фе теоад ої іпіегаспоп ої 15 сотропепіз. 
Тре деуеіоред тешодзя 5иррогі Ше 5еії- 
огбапігайоп ої їде 4і5ігібиіед 5узіет, Ше 
ашопоту іп есізіоп таКіпє Бу Фе 
сотропепі5 ої Ше зузіет уліпоці (ріга- 
рагу іпбиепсе, Ше огеапігайоп ої Ше 
іпіегасйоп ої Фе сопаропепіз (0 декегтіпе 
Фе 5ігагебу ої Ригібег ууогк, Фесі5іоп- 
таКіп8 оп Фе пипабег ої сотропепіз ої Фе 
зувіет, паКіпя, десі5іоп5 абоці ре рге5епсе 
ої таЇмаге іп сегіаїп согариіег 5у5(епіє 
Шгоцеб | Фе  іпуоіуетепі | ої  оїрег 
сопропепіє аізігіршед зузіет уїфр Ше 
зшб5едцепі Фізсоппесйоп ої 5зисп сотриег 
зузіетія,  ргосе55іп5 апа  (гап5Їеттіпе 
Кпоміедєе абоці Ше пемху Чегесіед тайсе 
пос 50Йомаге Їгот опе согаропепі ої Ше 
5узієт о апофег, ап аз5еє55тепі ої Ше 
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зесигігу 5(аіщщ5 ої іпфмідиа! сотропепіз ої 
Фе зузіет апа 1ї8 оуегаї!. 

Тре шпефойд ої деіїесійпе Бокпеїз 
соп5і5ї5 ої мо рагіз: Ше ро5і апа пебмогк 
Ісусіз. Ас Ше Бозі Ісусі, Ше декесійоп 
ргоседиге 15 Базед оп Ше ітріетепіацоп ої 
Васиз'5 сіа55іпсайоп. ТБе пебмогк Іауег 
ехіепаз Фе гезиїі5 обіаштеай аї Ше Бозі Ісусе! 
го Ше гезі ої Ше Іосаї пебмогК. ТРе гезиіїя ої 
Фе ехрегітепі оп Ше ц5е ої Ше Чеусіоред 
зузіет апа тлефодо 5Ппомед а Бе 
ассигасу ої декесіоп ої Бокпеїя геаспез 8990. 

То  пааїпіаїп Ше іпіеєгу ої Ше 
ді5сібисеса зей -огеапігед 5убіет, а плеїфодй 
ої іпіегаспоп ої ії5 соппропепіз 15 деуеїорей, 
мурісп, Базед оп  ї5  5еїв-огеапігайоп, 
декегпаїпез 145 Гагірег 5ігакеру ої уогК. 
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